網(wǎng)易、品友互動等互聯(lián)網(wǎng)公司由于涉嫌使用Cookie盜取用戶個人信息而成為了今年央視315晚會的矛頭所向。在315晚會中，央視報道網(wǎng)易向第三方機構(gòu)泄露用戶Cookie以及利用用戶資料牟利。經(jīng)此報道，Cookie這一IT圈內(nèi)的著名詞匯被推到了輿論的風口浪尖之上。

節(jié)目播出之后，在網(wǎng)上引起了廣泛的討論。IT業(yè)內(nèi)人士普遍持一種不屑一顧的態(tài)度，盡管如此，各大門戶網(wǎng)站還是出了很多文章來向眾多不明真相的群眾釋疑，何為Cookie，以及它與隱私的關(guān)系。筆者認為，要想知道為什么Cookie會有如央視所說的能力，還需要從互聯(lián)網(wǎng)商業(yè)化的歷史了解。而對于Cookie這樣一種備受爭議的文件，不論是企業(yè)還是個人都需要予以重視。

互聯(lián)網(wǎng)商業(yè)化的基石

Cookie在被發(fā)明之初是為了解決HTTP協(xié)議的無狀態(tài)性，維持客戶端與服務器通信會話的狀態(tài)，進而用來實現(xiàn)交互式的Web應用程序。另外，網(wǎng)站為了辨別用戶身份而將相關(guān)信息記錄在Cookie中，儲存在用戶本地終端(手機或電腦)上，這些數(shù)據(jù)以文本形式存在，且通常都會進行加密處理。當用戶在瀏覽網(wǎng)頁時，瀏覽器會在Cookie中記錄用戶在網(wǎng)頁上所輸入的文字，當該名用戶再次瀏覽該網(wǎng)頁時，瀏覽器就能通過Cookie直接判斷該名使用者身份，從而送出特定的網(wǎng)頁內(nèi)容。需要聲明的是，Cookie是個人用戶在某一網(wǎng)站的唯一標識，也就是說，每一個網(wǎng)站都會為用戶生成一個Cookie文件，用來跟蹤用戶訪問行為。

不論是互聯(lián)網(wǎng)的精準廣告投遞模式，還是用戶通過瀏覽器訪問互聯(lián)網(wǎng)的體驗逐步提升，都是建立在借用Cookie數(shù)據(jù)的基礎(chǔ)之上。而廣告的精準投放，正是目前互聯(lián)網(wǎng)公司賴以生存的基石。提到互聯(lián)網(wǎng)廣告，雅虎和谷歌是不得不說的兩家公司。首先，翻看互聯(lián)網(wǎng)的歷史可以了解到，作為互聯(lián)網(wǎng)革命先驅(qū)的雅虎，創(chuàng)立了通過向廣告主收費，以達到讓用戶免費使用網(wǎng)絡服務的互聯(lián)網(wǎng)公司生存模式，同時也刺激了電子商務的發(fā)展。此后，谷歌將此模式發(fā)展、進化，從而產(chǎn)生了根據(jù)用戶喜好來定向投放廣告的模式，使得廣告投放的更加精準、有效。而這其中的關(guān)鍵，則是對于Cookie的成功利用。

通過對Cookie文件的分析，可以得知用戶的年齡、性別、興趣喜好、收入水平等，以及訪問某網(wǎng)站的頻率、時間段、對于內(nèi)容的好惡，從而更加有針對性地向用戶投放廣告。當用戶登錄旅游相關(guān)的網(wǎng)站時，網(wǎng)站也會通過分析Cookie中存放的信息，為用戶提供符合其偏好的目的地或行程組合等等。此種例子不勝枚舉，正是由于Cookie的存在，互聯(lián)網(wǎng)才迎來了其能夠改變世界的那一天。而對于用戶來說，又是否感覺到訪問互聯(lián)網(wǎng)的體驗越來越好了呢?正是由于網(wǎng)站對于用戶/用戶群的差異化呈現(xiàn)，才有了用戶對于上網(wǎng)體驗質(zhì)的提升。

Cookie侵犯隱私了嗎?

由于整個抓取、分析、呈現(xiàn)的過程都是由程序自動實現(xiàn)的，因此互聯(lián)網(wǎng)公司對于Cookie的分析，僅限于用戶的一些訪問信息，比如說訪問時間、頻率、喜好、年齡等等。而不會細化到家庭住址、電話、姓名等信息。也就是說，所謂精準營銷是指：互聯(lián)網(wǎng)公司知道用戶可能更愿意看到的內(nèi)容，而不會知道每個用戶的個人屬性。當然，不同用戶對于隱私有自己的評價標準。因此何為隱私信息還需要用戶自己判斷，很難給出一個公共的標準。

對于用戶來說，就一定要“人為刀俎我為魚肉”嗎?在用戶方，也就是瀏覽器端，所持有兩種Cookie，即臨時Cookie(Session Cookie)和本地Cookie(Third-party Cookie)。兩者都是基于瀏覽器的。也就是說，不同的瀏覽器Cookie不同，不能被跨瀏覽器使用。而二者的區(qū)別在于，本地Cookie在創(chuàng)建時被服務器指定了Expire 值，用來標識過期時間，也就是說，只要是在過期時間到達之前，抑或是用戶自行刪除，這種Cookie會一直存放在本地;而臨時Cookie則沒有Expire值，當瀏覽器關(guān)閉后，該Cookie會自行刪除。除此之外，還有一種Cookie，名為Flash Cookie。由于該Cookie是依托于Flash的，導致該Cookie可以被不同的瀏覽器訪問。該文件并不能通過瀏覽器被刪除，需要刪除該文件只需找到Flash的存放目錄即可。

對于Cookie信息的使用，W3C也做出過努力。P3P(the Platform for Privacy Preferences)就是成果之一，是該組織制訂的一項關(guān)于隱私的標準。P3P是一種可以提供這種個人隱私保護的策略，使用戶可以瀏覽網(wǎng)頁時，選擇是否被第三方收集并利用自己的個人信息。如果網(wǎng)站不遵守P3P標準，那么有關(guān)它的Cookies將被自動拒絕，并且P3P還能夠自動識破多種Cookies的嵌入方式。

此外，W3C還發(fā)起了Do not Track(DNT)的保護隱私運動。在支持DNT功能的瀏覽器中，用戶可以選擇開啟該功能，借以保護自己的行為不被商業(yè)網(wǎng)站所追蹤。在今年的RSA大會上也被提及，倡議更多的瀏覽器開發(fā)廠商支持這一功能，以便更好地保護用戶隱私。當用戶在瀏覽器中選擇開啟DNT功能時，瀏覽器會在 HTTP通信時添加一個“頭信息”(headers)，這個頭信息向商業(yè)網(wǎng)站的服務器表明用戶不希望被追蹤，遵守該規(guī)則的網(wǎng)站就不會追蹤用戶的個人信息來用于更精準的在線廣告。

當然，如果用戶選擇了不上傳Cookie文件，而網(wǎng)站還是獲取到了，這就是網(wǎng)站的不道德行為甚至是違法行為，也是很明顯的在侵犯用戶隱私。

如果沒有Cookie

事實上，很多互聯(lián)網(wǎng)公司都未曾積極響應W3C發(fā)起DNT的隱私保護運動。其原因也并不只是盈利的問題，而是一旦沒有或者全部禁用了Cookie，互聯(lián)網(wǎng)行業(yè)的運營模式將產(chǎn)生巨大的變革。如上所說，廣告的精準投放，或者說定制化投放，很大程度上依賴于對Cookie數(shù)據(jù)的分析，一旦停止Cookie的上傳，禁止網(wǎng)站對用戶的訪問進行跟蹤，當前的廣告投放精準度勢必會受到致命威脅。

然而，在用戶端還存在另一個問題。當用戶的訪問行為不再能被追蹤，網(wǎng)站也將不能對于用戶的歷史訪問來向用戶定制化呈現(xiàn)頁面內(nèi)容，其訪問體驗也將大打折扣。當用戶的訪問行為不再能被網(wǎng)站追蹤到之后，用戶可能再也看不到“猜你喜歡”或者“推薦閱讀”之類的信息。而對于此類信息的好惡，也是因人而異。就像每個人對于隱私的定義不同一樣。

作為互聯(lián)網(wǎng)公司，不能做Cookie收集、分析，也就無法了解用戶的需求，無法對用戶群進行分析，現(xiàn)有的廣告投放系統(tǒng)將不再能提供很高的有效性，而廣告投放又是互聯(lián)網(wǎng)公司實現(xiàn)盈利的重要因素，所以整個互聯(lián)網(wǎng)產(chǎn)業(yè)模式也將產(chǎn)生很大的改變。

當然，上面所說只是假設，真正的巨頭公司不會坐以待斃。一旦強制不使用Cookie，巨頭們也會使用別的技術(shù)來實現(xiàn)與Cookie相似或者更高級的功能。而他們所需要做的，就是通過修改用戶條款的方式通知用戶，但是又有多少用戶會仔細閱讀那些紛繁冗長的條款呢?

即使沒有Cookie，隱私問題也依然存在。近日360安全軟件頻頻被揭露上傳用戶文件的事件。而此類事件也勢必會發(fā)生在其他人們常用的軟件上。再加上各種病毒、木馬的肆虐，以及XSS(跨站點腳本攻擊)、CSRF(跨站點請求偽造)等等利用Cookie的黑客攻擊手段。因此，用戶的隱私問題，絕不是一個Cookie這么簡單。

結(jié)束語

當然，對于Cookie的態(tài)度，公司和個人用戶都應該重新審視。不能認為Cookie的存在時間長，推動了互聯(lián)網(wǎng)商業(yè)模式的發(fā)展，就能夠被用來收集用戶的各種資料。由于Cookie被濫用，確實在某種程度上危及了個人的隱私安全。瑞典已經(jīng)通過對Cookie立法，要求利用Cookie的網(wǎng)站必須說明其屬性，并且指導用戶如何禁用Cookie。而我國還并沒有在這方面有相關(guān)法律法規(guī)對Cookie的使用進行限制。在個人用戶方面，如果認為自己的訪問行為等等信息均為個人隱私，完全可以在瀏覽器中開啟DNT功能，或者在關(guān)閉瀏覽器時清除Cookie。

媒體也需要扮演好信息紐帶的橋梁，盡量減少信息不對稱的情況。盡量做到報道如實，中立，全面，讓用戶有較好的認知。博客中國創(chuàng)始人方興東也曾公開表示，媒體報道對Cookie的片面化、簡單化、妖魔化的報道，引起用戶無謂的恐慌，不利于問題認清與解決。Cookie的有效合理使用，是互聯(lián)網(wǎng)的優(yōu)勢所在，也是互聯(lián)網(wǎng)的價值，不能把Cookie問題簡單化絕對化，要做的是防止濫用，而不是不用。

對于這些Cookie信息，公司或網(wǎng)站需要很妥善地處理和保管。如果需要分析，也應只分析具有統(tǒng)計學意義的相關(guān)數(shù)據(jù)，比如年齡、性別、地域、職業(yè)等等，而對于涉及個人姓名、詳細住址、證件號碼等等的數(shù)據(jù)，應予以刪除處理。因此，對于Cookie來說，要適用而不是濫用。要做到這點，需要的不僅是法律法規(guī)的約束，更加需要提升公民和從業(yè)者的約束力以及道德修養(yǎng)。